安全协议理论与方法

1、安全协议理论与方法1 安全协议理论与方法 安全协议理论与方法2 2.1 安全协议概述 各种攻击 黑客 利用安全协议本身的缺陷进行攻击 重设计 面向具体应用 基于经验和软件测试来保证安全性 对现有协议改进和优化 安全协议理论与方法3 安全协议的概念 定义：协议是两个或两个以上的参与者采取一系列 步骤以完成某项特定的任务。 安全协议是密码体制基础上的一种高互通协议。 协议至少需要两个参与者。 在参与者之间呈现为消息处理和消息交换交替进 行的一系列步骤。 通过执行协议必须能够完成某项任务，或达成某 种共识。 安全协议理论与方法4 安全协议常见类型 密钥交换协议：用于完成会话密钥的建立。 认证协议：实

2、体、身份、数据源(目)、消息。用 来防止篡改、假冒、否认等攻击。 认证和密钥交换协议：IKE、DASS、Kerberos等。 电子商务协议：由于协议双方利益矛盾，因此需 要保证公平，如SET。 安全协议理论与方法5 安全协议系统模型环境定义 系统环境：消息的发送和接收者、攻击者(恶意 网络环境)、管理消息发送和接收的规则。 恶意网络环境：攻击者 攻击者操作： 截取、重放、篡改、级联、分离、 加密和解密。 被动攻击者：知道信息。 主动攻击者：操纵信息。 安全协议理论与方法6 安全协议系统模型安全协议系统模型攻击行为攻击行为 转发消息到其意定接收者处。 延迟消息的送达。 将消息篡改后转发。 将消息

3、与以前接收的消息合并。 改变部分或全部消息的去处。 重放消息。 安全协议理论与方法7 安全协议系统模型安全协议系统模型-示意图示意图 诚实主体诚实主体 诚实主体 诚实主体 环境/攻击者 安全协议理论与方法8 安全协议的性质及实现安全协议的性质及实现 目标：保证下面安全性质在协议执行完毕时能够得 以实现。 认证性-关键性质 机密性 完整性 不可否认性 安全协议理论与方法9 认证性实现认证性实现 通过共享秘密实现，例如： 加密的密钥。 声称者使用仅为其与验证者知道的密钥封装消息， 如果验证者能够成功地解密消息或验证封装是正 确的，则证毕。 声称者使用私钥对消息签名，验证者使用声称者 的公钥验证签名

4、，如正确，证毕。 声称者通过可信第三方来证明自己。 用途： 对抗假冒攻击，确保身份，从而获取对某 人或某事的信任。 安全协议理论与方法10 秘密性实现秘密性实现 目的：保护协议消息不被泄漏非授权拥有此消息 的人，即使是攻击者观测到了消息的格式，它也 无法从中得到消息的内容或提炼出有用的消息。 实现方法之一：对消息明文加密。 安全协议理论与方法11 完整性实现完整性实现 应用：保护协议消息不被非法篡改、删除和替代。 常用方法：封装和签名。即用加密的方法或者 Hash函数产生一个明文的摘要附在传送的消息上， 作为验证消息完整性的依据，称为完整性校验值 (ICV)。 关键问题： 通信双方必须事先达成

5、有关算法的选 择等诸项的共识。 安全协议理论与方法12 不可否认性实现 目的：通过通信主体提供对方参与协议交换的证 据来保证其合法利益不受侵害。 收集证据，以便事后能够向可信仲裁证明对方主 体的确发送或接收了消息。 证据实现：签名消息的形式。 协议特点：证据的正确性，交易的公平性。 次要性质：适时中止性、可追究性等。 安全协议理论与方法13 协议设计准则 缺陷来源:设计不规范和具体执行时产生。 消息独立完整性原则 消息前提准确原则 主体身份标识原则 加密目的原则原则 签名原则 随机数的使用原则 时戳的使用原则 编码原则 安全协议理论与方法14 消息独立完整性原则 一条消息的解释应完全由其内容来

6、决定，而不必 借助于上下文来推断。 发送者标识接收者标识：消息 AB: m m应包含A ，B的标识，否则易造成攻击。 安全协议理论与方法15 消息前提准确原则 与消息的执行相关的先决前提条件应当明确指出， 并且其正确性与合理性能够得到验证，由此可判 断出此消息是否应当接收。 解释: 每条消息所基于的假设是否能够成立? 安全协议理论与方法16 主体身份标识原则 主体标识重要时在消息中明确附上主体名称 显式：主体的名字以明文形式出现。 隐式：采用加密或签名技术，需要从消息格式中 推知消息所属主体的身份。 安全协议理论与方法17 加密目的原则 加密可实现多种安全目的： 秘密性、完整性、认证性 在协议

7、中使用加密算法时，要事先确定什么目的 并能够保证某种安全性的实现。 安全协议理论与方法18 签名原则 主体对加密消息签名时，并不表明主体知道加密 消息的内容。 如果主体对一个消息签名后再加密，则表明主体 知道消息的内容。 同时使用加密与签名时，应该先签名后加密。 安全协议理论与方法19 随机数的使用原则 作用： 在协议中使用随机数时，应明确其所起的 作用和属性，它的目的是提供消息的新鲜性。 关键问题：随机数的真正随机性。 安全协议理论与方法20 时戳的使用原则 原则：使用时戳时，要考虑各个机器的时钟与当 地标准时间的差异，这种差异不能影响到协议执 行有效性。 时戳的使用主要依赖于时钟的同步。

8、安全协议理论与方法21 编码原则 明确指出具体的编码格式 编码是与协议的安全性相关。 安全协议理论与方法22 安全协议缺陷分类 基本协议缺陷 口令/密钥猜测缺陷 陈旧消息缺陷 并行会话缺陷 内部协议缺陷 密码系统缺陷 安全协议理论与方法23 基本协议缺陷 设计时没有考虑或很少考虑攻击者攻击而引发的 协议缺陷。 实例：对消息先加密后签名就有漏洞，因为签名 者并不一定知道被加密的消息内容，而且签名者 的公钥是公开的。使攻击者通过用他自己的签名 替换原有的签名来伪装成发送者。 安全协议理论与方法24 口令/密钥猜测缺陷 可检测的口令在线猜测攻击：不成功的登录能被 检测并被认证服务器记录(以便限定次数

9、)。 不可检测的口令在线猜测攻击：攻击者从认证服 务器的响应中逐渐推导出正确的口令。 可离线的口令猜测攻击：攻击者使用认证协议消 息复件，猜测口令并离线验证。 改进的措施： 认证服务器只响应新鲜的请求。 认证服务器只响应可验证的真实性。 安全协议理论与方法25 其他几种缺陷 陈旧消息缺陷：在协议设计中没有对消息的新鲜 性充分考虑。从而存在消息重放攻击。 并行会话缺陷：攻击者通过交换一定的协议消息 获得重要的消息。 内部协议缺陷：协议的参与者中至少有一方不能 够完成所有必需的动作而导致缺陷。 密码系统缺陷：协议中使用的密码算法的安全强 度有问题，导致协议不能满足所要求的机密性、 认证等需求而产生

10、的缺陷。 安全协议理论与方法26 消息重放攻击及对策 消息重放攻击 对策 序列号机制 时戳机制 挑战-应答机制 安全协议理论与方法27 消息重放攻击 攻击者利用其消息再生能力生成诚实用户所期望 的消息格式并重放，从而达到破坏协议安全性质 的目的。 类别：本协议的轮内攻击和轮外攻击。 轮内攻击 安全协议理论与方法28 影响消息去向的攻击 偏转攻击： 将消息返还给发方-反射攻击 非协议的双方-第三方攻击 直接攻击-意定的接收方，但被延迟 安全协议理论与方法29 诚实主体收到的重放消息类型 本轮内的消息重放 无重叠轮外消息的重放 有重叠轮外消息的重放 延迟的消息 安全协议理论与方法30 对策-序列号

11、(挑战-应答) 序列号机制接收方通过比较消息中的序列号以 判断消息是新产生的还是重放的。 问题:开销增大,适用系统中成员较少的情况。 挑战-应答机制-消息的时间变量参数由接收方 在该消息传递前明确地向消息发送方说明。 问题：系统开销增加. 安全协议理论与方法31 对策-时戳机制 消息的新旧是由消息上盖的时戳决定的，只有当 消息上的时戳与当前本地时间的差值在一定范围 内，接收方才接收这个消息。 问题： 需要全局时钟，但仍难以同步。 1)如果验证者弄错了当前的时间，那么旧消息就能 被很容易地重放。 2)如果合法声称者弄错当前时间,有可能被利用在合 理的时间点接收验证者重放产生的认证请求。 3)如果

12、双方的时钟都有较大的偏差，则双方都会被 攻击者利用。 安全协议理论与方法32 安全协议及其受到攻击的实例 A,B,: 表示参与协议的主体。 Kij: 主体i，j共享的会话密钥。 Ki：主体i的公钥，Ki-1：主体i的私钥。 Ri：主体i生成的随机数，Ni：主体i生成的序列号。 Ti：主体i生成的时戳。 m1| m2: 表示消息 的级联 E(k:m): 表示用密钥K对消息m加密。 Text1,Text2, : 为消息常量。 fKab(X): 表示用Kab加密的Hash函数。 Z:表示攻击者。 安全协议理论与方法33 无可信第三方参与的对称密钥协议 ISO one-pass 单方对称密钥认证协议

13、1) AB: Text2, E(Kab: Ta | Na, B, Text1) ISO two-pass 单方对称密钥认证协议 1) BA: Rb, Text1 2) AB: Text3, E(Kab:Rb, B, Text2) 安全协议理论与方法34 无可信第三方参与的对称密钥协议 ISO two-pass 双方对称密钥认证协议 1)AB: Text2, E(Kab: Ta | Na, B, Text1) 2)BA: Text4, E(Kab: Tb | Nb,A, Text3) ISO three-pass 双方对称密钥认证协议 1)BA: Rb, Text1 2)AB: Text3, E

14、(Kab: Ra, Rb, B, Text2) 3)BA: Text5, E(Kab:Rb,Ra,Text4) 安全协议理论与方法35 无可信第三方参与的对称密钥协议 使用单向函数 1) BA: B, Rb 2) AB: A, E(Kab: f(Rb), Ra, A, K) 3) BA: B, E(K: f(Ra) 使用f(Rb)和f(Ra)单向函数验证消息的正确性。 安全协议理论与方法36 无可信第三方参与的对称密钥协议 RFC 协议 AB: A, E(Kab: Na) BA: E(Kab: Na+1, Nb) AB: E(Kab:Nb+1) BA: E(Kab: Kab, Nb) 有缺陷，

15、例如第4步易被 E(Kab: Na+1, Nb)重放 替代，并且A不能觉察。 安全协议理论与方法37 RFC协议的修改 将前述协议的2)3)4)修改为： AB: A, Na BA:E(Kab: Na, Kab) AB:A, E(Kab: Na) BA:Nb 问题:仍有缺陷，因为存在多重会话攻击。 安全协议理论与方法38 多重会话攻击 AZ(B): A, Na 1) Z(B)A: B, Na (Z假冒B向A发连接) 2) AZ(B): E(Kab: Na, Kab)(A应答Z的请求) 2)Z(B)A:E(Kab:Na,Kab) (Z重放A应答Z的消息给A) 3) AZ(B):A, E(Kab:

16、Na) (A回应Z) 3) Z(B)A:A, E(Kab:Na) Z(B)A:Ni 4) AZ(B):Na 安全协议理论与方法39 多重会话攻击分列表示 AZ(B): A, Na 1)Z(B)A: B, Na 2)AZ(B): E(Kab: Na, Kab) 2)Z(B)A:E(Kab:Na,Kab) 3)AZ(B):A,E(Kab: Na) 3) Z(B)A: A, E(Kab:Na) 4)Z(B)A: Ni 4) AZ(B): Na 安全协议理论与方法40 有可信第三方参与的对称密钥协议 1.Needham-Schroeder私钥协议 AS:A,B,Na SA:E(Kas:Na,B,Kab

17、,E(Kbs:Kab,A) AB:E(Kbs:Kab,A) BA:E(Kab: Nb) AB:E(Kab:Nb-1) 问题:消息3新鲜性无法保证,可用类似旧消息重放。 若使用流密码则消息4和5差别很小,易被攻击。 安全协议理论与方法41 缺陷分析 若在给定的时间内E(Kbs:Kab,A)中的旧密钥 Kab被解密，则该协议存在如下的问题： 由于消息3)中没有新鲜性标记，因此攻击 者重放一个以前A发给B的报文。 Z(A)B: E(Kbs: Kab, A) B以为A发来的新消息。由于此处的Kab已被解 密, 因此所有用Kab加密的消息都不保密。 安全协议理论与方法42 NS-无需获得会话密钥的攻击

18、针对Needham-Schroeder协议的另类攻击 AS:A,B,Na SA:E(Kas:Na,B,Kab,E(Kbs:Kab,A) AB(Z):E(Kbs:Kab,A) Z(B)A:Nz / 与E(Kab: Nb)格式相同 AB(Z):E(Kab:(E(Kab:Nz)-1)-1) 此时，A认为主体B已经知道了会话密钥Kab,但B实 际上并没有参与协议的执行过程。 安全协议理论与方法43 1.修订的Needham Schroeder 协议 AB:A BA:E(Kbs:A, Nb) AS:A,B,Na,E(Kbs:A,Nb) SA:E(Kas:Na,B,Kab,E(Kbs:Kab,Nb,A)

19、AB:E(Kbs:Kab,Nb,A) BA:E(Kab: Nb) AB:E(Kab:Nb-1) 该协议见Boyd90,任有漏洞。 安全协议理论与方法44 2. Denning Sacco 协议 针对前述协议缺点,提出采用时戳方法来解 决上述NS协议中出现的新鲜性问题。 AS:A, B SA:Certa, Certb AB:Certa,Certb,E(Kb:E(Ka-1:Kab,T) 消息3的双重加密用于保证消息的秘密性和 认证性,但当B收到此消息时,并不能确定这 条消息是发给它的。 安全协议理论与方法45 Denning Sacco 协议的攻击 用户Z通过协议正常执行得到A发的消息3): 3)

20、 AZ: Certa,Certz,E(Kz:E(Ka-1: Kaz,T) 之后,Z将外层密文解密,利用前两条消息从 S处得到主体B的公钥Kb,此后,Z可伪装成A,进 行下面消息的传递: 3)AB:Certa,Certb,E(Kb:E(Ka-1:Kai,T) 使B误认为与A的会话密钥为Kai，原因在于 消息3)中没有显式或隐式地给出B身份标识。 安全协议理论与方法46 3. Otway-Rees有漏洞的协议 1)AB:M,A,B,E(Kas:Na,M,A,B) 2)BS:M,A,B,E(Kas:Na,M,A,B), E(Kbs:Nb,M,A,B) 3)SB:M,E(Kas:Na,Kab),E(K

21、bs:Nb,Kab) 4)BA:M,E(Kas:Na,Kab) M是协议轮标识符,消息2)中S解密检查两个 消息中的M,A,B是否一致,如果一致,S就生成 新密钥Kab发给B。 安全协议理论与方法47 3. Otway-Rees协议攻击例 1)AZ(B):M,A,B,E(Kas:Na,M,A,B) 4)Z(B)A:M, E(Kas:Na,M,A,B) 主体A会误将M,A,B视为新密钥，它是典型 的类型缺陷例子。 另种攻击:等待消息2)的发送,之后将适当 的部分重放给A和B,之后监视A、B间的会话。 安全协议理论与方法48 5. 大嘴青蛙协议 AS:A,E(Kas:Ta, B, Kab) SB:

22、E(Kbs: Ts, A, Kab) 攻击1: 在有效时间窗口内重放消息1),由于S将产 生附有一个更新的时戳的一个新的消息2)而造成 重认证。 攻击2: 将会话记录下来,之后不断将S当作一个中 转站直到它试图造成A、B之间的重认证。 安全协议理论与方法49 大嘴青蛙协议攻击例 AS:A,E(Kas:Ta, B, Kab) SB:E(Kbs: Ts, A, Kab) 1) Z(B)S:B,E(Kbs:Ts,A,Kab) 2) SZ(A): E(Kas: Ts,B,Kab) 1) Z(A)S:A,E(Kas:Ts,B,Kab) 2) SZ(B): E(Kbs: Ts,A,Kab) 此时,Z能够重

23、放A、B之间的消息 1)AZ(S): A, E(Kas: Ts, B, Kab) 2) Z(S)B: E(Kbs:Ts, A,Kab) 安全协议理论与方法50 6. Yahalom 协议 AB:A,Na BS:B,E(Kbs: A, Na, Nb) SA:E(Kas:B,Kab,Na,Nb),E(Kbs:A,Kab) AB:E(Kbs:A,Kab), E(Kab:Nb) 安全协议理论与方法51 Yahalom协议攻击例 Z(A)B:A,Na BZ(S):B, E(Kbs: A, Na, Nb) SA: E(Kas:B,Kab,Na,Nb), E(Kbs:A,Kab) Z(A)B: E(Kbs:

24、A,Na,Nb),E(Na,Nb:Nb) B会将Na,Nb当作Kab，因此造成协议执行 的缺陷。 安全协议理论与方法52 Needham-Schroeder签名协议 AS: A,E(Kas: CS) /CS为Message的摘要 SA: B, E(Kss:A,CS) AB: Message,E(Kss:A,CS) BS: B,E(Kss:A,CS) SB: E(Kbs:A,CS) 主体A通过发送消息给B并保证消息的原发 性和完整性。 安全协议理论与方法53 Kerberos V5 CA: U,G,L1,N1 AC: U, Tcg, E(Ku:G,Kcg,Tstart,Texpire,N1) 3

25、)CG: S,L2,N2,Tcg,Acg 4)GC: U,Tcs,E(Kcg:S,Kcs,Tstart,Texpire,N2) 5)CS: Tcs,Acs 6)SC: E(Kcs:T) 其中Acs=E(Kcs:C,T) 安全协议理论与方法54 其他协议 Carlson SKI协议 ISO四向认证协议 ISO五向认证协议 Woo & Lam 认证协议 Woo & Lam 相互认证协议 Neuman Stubblebine协议 安全协议理论与方法55 无可信第三方参与的公钥协议 1. ISO one-pass 单方公钥认证协议 AB: CertA, Ta|Na , B, Text2, E(Ka-1

26、: Ta|Na, B, Text1) 2. ISO two-pass 单方公钥认证协议 BA:Rb, Text1 1)AB:CertA,Ra,Rb,B,Text3, E(Ka-1: Ra,Rb,B,Text2) 安全协议理论与方法56 无可信第三方参与的公钥协议 3. ISO two-pass双方公钥认证协议 AB: CertA, Ta|Na, B,Text2, E(Ka-1: Ta|Na, B, Text1) BA: CertB, Tb|Nb, A,Text4, E(Kb-1: Tb|Nb, A, Text3) 4. ISO three-pass 双方公钥认证协议 BA: Rb, Text1

27、 AB: CertA,Ra,Rb,B,Text3, E(Ka-1: Ra,Rb,B,Text2) BA: CertB,Rb,Ra,A,Text5, E(Ka-1: Rb,Ra,A,Text4) 安全协议理论与方法57 Diffie-Hellman协议 AB:X=Gxmod N BA:Y=Gymod N G,N是通信主体A、B的共识。 协议执行完成后，双方计算得到新的密钥 K= GXY mod N，它提供密钥交换的方法， 但不提供认证，需要与认证协议结合使用 。 安全协议理论与方法58 station-to-station协议 AB:A,B, ax BA:B,A,ay, E(K: (ayax)

28、AB:A,B,E(K: (axay) 它是建立在Diffie-Hellman密钥交换基础上 的双向认证协议。 安全协议理论与方法59 station-to-station协议的攻击 AZ(B): A,B, ax 1)ZB: Z,B,ax 2)BZ:B,Z,ay,E(K: (ayax) Z(B)A:B,A,ay,E(K: (ayax) AZ(B):A,B,E(K: (axay) 3) ZB:Z,B,E(K: (axay) 安全协议理论与方法60 station-to-station协议攻击解 释 A发送指数aX 试图开始一轮与B的协议,此消息被Z截获 。Z发起另一轮协议重放此消息。B回应指数aY

29、以及加 密的指数积,Z将此消息转发给A。A收到此消息确认 是在与其通信，而实际上是与通信，根本不 知道的存在，攻击的危害在于持有错误的信仰 。修改： AB:A,B, ax BA:B,A,ay, E(K: (，ayax) AB:A,B,E(K: (，axay) 安全协议理论与方法61 有可信第三方参与的公钥协议 Needham-Schroeder公钥协议 AS:A,B SA:E(Ks-1: Kb, B) AB:E(Kb: Na, A) BS:B,A SB:E(Ks-1: Ka, A) BA: E(Ka: Na,Nb) 1)AB:E(Kb:Nb) 安全协议理论与方法62 Lowe发现的对此协议的攻

30、击 AZ: E(Kz: Na, A) /Z冒充A 3) Z(A)B:E(Kb: Na, A) ZA:E(Ka: Na, Nb) AZ:E(Kz: Nb) 7) Z(A)B:E(Kb:Nb) 危害:AB没有直接通信,而B以为是与A通信。 Lowe的修改 6) BA: E(Ka: Na, Nb, B) 安全协议理论与方法63 Denning Sacco密钥分配协议 AS:A, B SA:Certa,Certb AB:Certa, Certb, E(Kb: E(Ka-1: Kab,Ta) 协议的目的在于安全地将由A生成的会话密 钥Kab传递给B,S为A,B提供证书。 Certa=E(Ks-1: A,

31、 Ka, T)是由S签发的A的证书。 安全协议理论与方法64 Denning Sacco密钥分配协议攻 击 如果B不诚实，它在获得A的证书后,可以冒 充A给C发信息，使得C以为A与其共享密钥 Kab,将会导致危险发生。 BS:B,C SB:Certb,Certc B(A)C: Certa, Certc, E(Kc: E(Ka-1:Kab,T) 安全协议理论与方法65 其他协议 SPLICE / AS 认证协议 Denning Sacco密钥分配协议 SRA three-pass协议 Gong双方认证协议 加密的密钥交换协议 安全协议理论与方法66 安全协议的形式化分析 目前的技术主要用于对密钥正确的认证 安全协议的形式化分析有助于减轻协议设计者的 部分工作量： .界定安全协议的边界,即协议系统与其运行环 境的界面。 更准确地描述安全协议的行为。 更准确地定义安全协议的特性。 证明安全协议满足其说明，以及证明安全协议 在什么条件下不能满足其说明。 安全协议理论与方法67 安全协议形式化分析的历史与现状 最早提出对安全协议形式化分析思想的是Needham 和SchroederNESC78 。 NESC78 R.M.Needham and M.D.Schroeder，Using encryption